Un hameçonnage d'un type peu connu a de nouveau frappé les utilisateurs d'eBay. L'attaque exploite le principe des redirections automatiques pour "récupérer" les utilisateurs après leur authentification sur le site officiel. Retour sur une technique de phishing difficilement parable et particulièrement sournoise.

au sommaire

    eBay : un phishing plus vrai que nature

    eBay : un phishing plus vrai que nature

    Le phishing par redirection est une technique peu médiatisée mais diablement efficace. Elle a déjà frappé des sites bien connus tels que ceux de Visa, Mastercard et plusieurs grandes banques américaines. En février dernier, le site de vente aux enchère eBay en était victime à son tour. Aujourd'hui, la société Netcraft révèle que eBay a de nouveau fait l'objet d'une telle attaque, cette fois-ci sur l'une de de ses pages de login. Netcraft n'indique cependant pas la date de cette nouvelle attaque et eBay demeure particulièrement discret à ce sujet.

    Contrairement aux phishing traditionnels, un phishing par redirection n'a pas besoin de tenter de maquiller un lien piégé : le lien fourni dans l'email pointe réellement sur le site officiel !

    C'est cette particularité qui en fait une attaque vraiment sournoise : même un internaute vigilant pourra s'y laisser prendre car le lien qu'il aura reçu sera tout à fait légitime. Par exemple, lors de l'attaque du mois de février, le lien piégé pointait vers http://cgi4.ebay.com, et lors de la dernière attaque en date vers l'adresse signin.ebay.com. Il s'agit là réellement de deux sous-domaines officiels d'eBay. S'il arrête là son examen du lien, l'internaute tombera certainement dans le panneau. Car l'attaque n'a pas lieu au niveau du domaine, mais à peine plus loin dans le lien, juste après la partie "officielle" du nom. Elle exploite pour cela une faute imputable au site web officiel.

    Observez par exemple le lien complet fourni par les pirates au cours de l'attaque de février :

    http://cgi4.ebay.com/ws/eBayISAPI.dll ?MfcISAPICommand=RedirectToDomain&DomainUrl=http etc...

    L'adresse d'eBay permet de rediriger l'internaute vers n'importe quel site, y compris en dehors du domaine ebay.com. C'est cette faille qui est systématiquement exploitée dans le cadre d'un phishing par redirection. En renvoyant l'internaute vers une copie parfaite du site officiel après qu'il y soit effectivement passé, le pirate peut facilement tromper même un internaute vigilant. Après tout, s'il a été dirigé vers le site légitime en cliquant sur un lien après avoir pris la peine de le vérifier, il n'a pas de raison de penser que ce site officiel le redirigera ensuite vers une copie pirate.

    La dernière attaque en date exploite ce principe sur la page même de login d'eBay. Ainsi le pirate laisse les utilisateurs s'authentifier une première fois naturellement sur le site officiel, mais dès que la procédure est terminée, ils sont immédiatement redirigés vers une copie pirate. Là, il leur est demandé toutes sortes d'informations personnelles qu'ils donneront d'autant plus volontiers qu'ils viennent de s'authentifier sur le vrai site d'eBay et pensent toujours y être.

    Contrairement à une attaque traditionnelle par phishing, qui n'exploite que l'ignorance des internautes, celle par redirection repose sur une faille des sites visés. Jusqu'à présent, ces derniers ne considéraient pas les redirections comme pouvant occasionner un problème de sécurité car elles ne menacent pas leur intégrité. Cette conception est entrain de changer, mais hélas pas assez rapidement. De nombreux sites demeurent vulnérables (note aux webmasters : si vous utilisez des redirections ouvertes, pensez à coder "en dur" une règle qui limite ces dernières à votre seul domaine).

    Pour les internautes, la seule protection contre ce type d'attaque est de ne jamais cliquer sur un lien reçu par email mais plutôt de toujours entrer directement l'adresse du site dans une nouvelle fenêtrefenêtre du navigateurnavigateur. C'est de toute façon une très bonne habitude à prendre !